기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키링

AWS 데이터베이스 암호화는 키링을 SDK 사용하여 봉투 암호화를 수행합니다. 키 링은 데이터 키를 생성, 암호화 및 복호화합니다. 키링에 따라 각 암호화된 레코드를 보호하는 고유한 데이터 키의 원본과 해당 데이터 키를 암호화하는 래핑 키가 결정됩니다. 암호화할 때 키 링을 지정하고 암호를 복호화할 때는 동일하거나 다른 키 링을 지정합니다.

각 키링을 개별적으로 사용하거나 키링을 여러 개의 키링으로 결합할 수 있습니다. 대부분의 키링이 데이터 키를 생성, 암호화 및 복호화할 수 있지만, 데이터 키만 생성하는 키링과 같이 특정 작업 하나만 수행하는 키링을 만들고 해당 키링을 다른 키링과 조합하여 사용할 수 있습니다.

래핑 키를 보호하고 안전한 경계 내에서 암호화 작업을 수행하는 키링을 사용하는 것이 좋습니다. 예를 들어, () 를 암호화되지 않은 상태로 두지 AWS KMS keys 않는 AWS KMS 키링을 사용하는 키링을 사용하는 것이 좋습니다. AWS Key Management ServiceAWS KMS하드웨어 보안 모듈 (HSMs) 에 저장되거나 다른 마스터 키 서비스로 보호되는 래핑 키를 사용하는 키링을 작성할 수도 있습니다.

키링에 따라 데이터 키, 궁극적으로 데이터를 보호하는 래핑 키가 결정됩니다. 작업에 가장 적합한 가장 안전한 래핑 키를 사용하세요. 가능하면 하드웨어 보안 모듈 (HSM) 또는 키 관리 인프라로 보호되는 래핑 키 (예: AWS Key Management Service(AWS KMS) 의 KMS 키 또는 in의 암호화 키를 사용하십시오. AWS CloudHSM

AWS 데이터베이스 암호화는 여러 가지 키링과 키링 구성을 SDK 제공하며 사용자가 직접 사용자 지정 키링을 만들 수 있습니다. 또한 유형이 같거나 다른 키링을 하나 이상 포함하는 다중 키링을 만들 수 있습니다.

키링 작동 방식

데이터베이스의 필드를 암호화하고 서명하면 데이터베이스 암호화가 키링에 AWS 암호화 자료를 SDK 요청합니다. 키링은 일반 텍스트 데이터 키, 키링의 각 래핑 키로 암호화된 데이터 키의 사본, 데이터 키와 관련된 키를 반환합니다. MAC AWS 데이터베이스 암호화는 일반 텍스트 키를 SDK 사용하여 데이터를 암호화한 다음 가능한 한 빨리 메모리에서 일반 텍스트 데이터 키를 제거합니다. 그런 다음 AWS 데이터베이스 암호화는 암호화된 데이터 키와 기타 정보 (예: 암호화 및 서명 지침) 를 포함하는 중요한 설명을 SDK 추가합니다. AWS 데이터베이스 암호화는 이 MAC 키를 SDK 사용하여 자료 설명 및 또는 로 표시된 모든 필드를 정규화한 후 해시 기반 메시지 인증 코드 (HMACs) 를 계산합니다. ENCRYPT_AND_SIGN SIGN_ONLY

데이터를 복호화할 때 데이터를 암호화하는 데 사용한 것과 동일한 키링을 사용하거나 다른 키링을 사용할 수 있습니다. 데이터를 복호화하려면 복호화 키링에 암호화 키링에 래핑 키가 하나 이상 있거나 액세스 권한이 있어야 합니다.

AWS 데이터베이스 암호화는 자료 설명의 암호화된 데이터 키를 키링으로 SDK 전달하고 키링에 이들 중 하나를 해독하도록 요청합니다. 키링은 해당 래핑 키를 사용하여 암호화된 데이터 키 중 하나를 암호화 해제하고 일반 텍스트 데이터 키를 반환합니다. AWS 데이터베이스 암호화는 일반 텍스트 데이터 키를 SDK 사용하여 데이터를 해독합니다. 키 링에 있는 래핑 키 중 어느 것도 암호화된 데이터 키를 복호화할 수 없는 경우 복호화 작업이 실패합니다.

하나의 키링을 사용하거나, 동일한 유형 또는 여러 유형의 키링을 하나의 다중 키링에 조합할 수도 있습니다. 데이터를 암호화할 때 다중 키링은 다중 키링을 구성하는 모든 키링의 모든 래핑 키와 데이터 키와 관련된 키로 암호화된 데이터 키의 사본을 반환합니다. MAC 다중 키링의 래핑 키 중 하나를 포함하는 키링을 사용하여 데이터를 복호화할 수 있습니다.